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Kleine Anfrage 

der Abgeordneten Jan Körte, Petra Pau, Jens Petermann, Frank Tempel 
und der Fraktion DIE LINKE. 


Sicherheitsrisiken und Kosten des neuen Personalausweises 


Am 1. November 2010 wurde, trotz vielfacher Kritik, der maschinenlesbare 
neue Personalausweis eingeführt. Obwohl Verbraucherschützer die Kosten be- 
mängeln, Datenschützer und Computerexperten massive Sicherheitsbedenken 
äußerten und der neue Personalausweis insgesamt nicht ausgereift erscheint, 
soll der neue Personalausweis nach Ansicht der Bundesregierung auch Ge- 
schäfte im Internet sicherer machen. 

Der neue Personalausweis wird mit regulär 28,80 Euro mehr als das Dreifache 
des jetzigen Personalausweises kosten. Er hat die Maße einer Scheckkarte, be- 
nötigt ein Lichtbild mit neutralem Gesichtsausdruck und wird mit einem RFID- 
Chip (RFID: Identifizierung mit Hilfe von elektromagnetischen Wellen) ausge- 
stattet sein. 

Dieser Funkchip soll biometrische Daten wie eine Kopie des Bildes mit Ge- 
sichtsbiometrie und - vorläufig freiwillig — auch die Fingerabdrücke der Zeige- 
finger des betroffenen Bundesbürgers enthalten. 

Für Online-Angebote gibt es zusätzliche Optionen, eine elektronische Identi- 
tätsbestätigung (elD), eine kostenpflichtige, qualifizierte elektronische Signatur 
(QES) zum elektronischen Unterschreiben und eine Pseudonymfunktion zur 
Bestätigung der Person, ohne persönliche Informationen von sich preisgeben zu 
müssen. 

Um diese Funktionen nutzen zu können, braucht man spezielle Lesegeräte, 
über die der Ausweis mit einem Computer verbunden wird. Dies birgt jedoch 
ein großes Sicherheitsproblem, da viele Computer ungenügend geschützt sind. 
Deutschland befand sich Anfang des Jahres auf der Rangliste der Länder mit 
den meisten infizierten Rechnern auf Platz drei. Nach Schätzungen von IT- 
Sicherheitsexperten sollen mehrere hunderttausend Rechner in Deutschland 
von sogenannten illegalen Botnetzen genutzt werden (vgl. taz vom 25. August 
2010). Auf den infizierten und gekaperten Rechnern befinden sich ohne Wissen 
der Benutzerinnen und Benutzer Schadprogramme, mit deren Hilfe die Res- 
sourcen des PCs von Kriminellen unbemerkt genutzt und auch PlNs von Bank- 
konten ausgeforscht werden können. 

Will man also schon durch die Hardware einem Missbrauch möglichst gut Vor- 
beugen, sollte man laut dem Bundesministerium des Innern (BMI) einen vom 
Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierten Stan- 
dard- oder besser einen Komfortleser der höchsten Sicherheitsklasse benutzen. 
Doch neben den erwähnten Sicherheitsproblemen sind die derzeit zur Verfügung 
stehenden Lesegeräte nach Angaben „DER SPIEGEL“ Mangelware. Bislang 
seien nur drei Modelle offiziell zertifiziert, von deren Benutzung das BMI selbst 
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aus Sicherheitsgründen aber abrät, da alle drei Geräte nur Basisleser sind, deren 
Sicherheitsprobleme der Chaos Computer Club e. V. erst kürzlich nachweisen 
konnte (vgl. SPIEGEL ONLINE vom 15. Oktober 2010). Bei der Billigvariante 
kaim Schadsoftware, etwa ein sogenannter Trojaner, die sechsstellige PIN mit- 
lesen. Von den zehn beim Fraunhofer-Institut für Offene Kommunikationssys- 
teme FOKUS gelisteten Herstellern stellen nur zwei auch die sicherste Variante, 
den Komfortleser her. Dabei braucht man dieses Gerät der höchsten Sicherheits- 
klasse, will man alle angepriesenen Fähigkeiten des neuen Personalausweises 
nutzen: Die Unterschriftsfunktion, mit der man online Dokumente rechtsver- 
bindlich unterzeichnen kann, wird nur mit einem Komfortleser für mehr als 
150 Euro möglich sein. Am 3. November 2010 waren nach Angaben des , Kom- 
petenzzentrum neuer Personalausweis‘ beim Fraunhofer-Institut für Offene 
Kommunikationssysteme FOKUS (vgl. www.ccepa.de) weder ein Standardleser 
noch ein Komfortlesegerät, sondern nur die drei vom „DER SPIEGEL“ erwähn- 
ten unsicheren Basislesegeräte durch das BSl zertifiziert. 

Trotz der unbestrittenen Sicherheitsprobleme sollen auch die derzeitigen Haf- 
tungsregelungen — im Falle des Missbrauchs von digitalen Identitäten — weiter 
gelten, die schon jetzt von Verbraucherschützern als unzureichend bezeichnet 
werden. Angesichts der Fülle von Daten aus unterschiedlichsten Bereichen, die 
in der Vollversion des ePerso dort gespeichert bzw. mit ihm abzurufen sind, 
kaim ein Verweis auf Sicherheitsmaßnahmen, die jeder Bürger selbst zu treffen 
hat, nicht ausreichend sein bei Dokumenten, die jeder Bürger haben muss. Ist 
hier kein akzeptabler Sicherheitsstandard für alle zu gewährleisten, darf eine 
solche Technik oder ein solches Instmment nicht obligatorisch eingeführt wer- 
den. Die Bundesregierang ist für die Sicherheit, die sie verspricht, verantwort- 
lich. 

Wir fragen die Bundesregierung: 

1. Wie hoch wurden die Kosten für das Projekt neuer Personalausweis zu Be- 
ginn geschätzt (Planung, Entwicklung, Sicherheit etc.)? 

2. Wie hoch sind die bisherigen Kosten (bitte nach Jahren aufiisten)? 

3. Wie hoch werden sich die Kosten insgesamt belaufen, bis der neue Personal- 
ausweis vollständig ausgegeben worden ist? 

4. Welche Kosten kamen bereits und werden noch im Zusammenhang mit dem 
neuen Personalausweis nach Kenntnis der Bundesregierung auf die Gemein- 
den und Kommunen zukommen (bitte aufschlüsseln nach Beantragung/ 
Erstellung, künftig anzubietende online-Dienste im Rahmen von E-Govem- 
ment und einschließlich Berechtigungszertifikate, ID-Service, IT-System-, 
Software- und IT-lntegrationskosten)? 

5. Welche Schlüsse zieht die Bundesregierung aus den vier Gutachten zu Rest- 
risiken (Dietrich, Rossow, Pohlmaim. „Restrisiken beim Einsatz der Aus- 
weisApp auf dem Bürger PC ...“. FH Gelsenkirchen, Fachbereich Infor- 
matik. Institut für Internet-Sicherheit. Oktober 2010), Rechtsfragen (Prof 
Dr. G. Borges. „Rechtsfragen der Haftung im Zusammenhang mit dem 
eldentitätsnachweis ...“. Ruhr Universität Bochum), Software (Grote, 
Keizer u. a. „Vom Client zur APP“. Hasso Plattner Institut. 30. September 
2010) und Sicherheitsanalyse (Dagdelen, Fischlin. „Sicherheitsanalyse des 
EAC-Protokolls“. TU Darmstadt) (bitte jeweils getrennt aufführen)? 

6. Wie gedenkt die Bundesregierung die derzeitige Situation bei den offiziell 
zertifizierten Lesegeräten, von deren Gebrauch das BMI aus Sicherheits- 
gründen abrät, zu ändern? 

7. Welche vom BSl zertifizierten Lesegeräte (Basis-, Standard- oder Komfort- 
lesegerät) stehen ab wann, und zu welchem Preis zur Verfügung? 
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8. Welche anderen zertifizierten Lesegeräte stehen ab wann, und zu welchem 
Preis zur Verfügung? 

9. Hat die Bundesregierang mögliche Schadensersatzansprüche gegen die 
Hersteller der unsicheren Basislesegeräte geprüft? 

Wenn ja, mit welchem Ergebnis, und wenn nein, warum nicht? 

10. Hält die Bundesregierung einen Rückruf der unsicheren Basislesegeräte für 
notwendig? 

Wenn ja, wann wird dieser erfolgen? 

Wenn nein, warum nicht? 

1 1 . Wie sah der ursprüngliche Zeitplan der Implementierung des neuen Perso- 
nalausweises aus (bitte nach Entwicklung, Testphasen, Zertifizierung, Aus- 
gabe und Verbreitung der Lesegeräte aufschlüsseln)? 

12. Um wie viele Monate hinkt die Entwicklung, Zertifizierung und Verteilung 
der nach bisherigem Stand sicheren Lesegeräte hinter dem ursprünglichen 
Zeitplan her? 

13. Wird die Bundesregierung an ihrem Vorhaben festhalten und die Verbrei- 
tung der Kartenleser mit 24 Mio. Euro aus dem Konjunkturpaket II 
finanziell unterstützen? 

Wenn ja, auf welche Gerätemodelle verteilen sich die finanziellen Mittel im 
Detail (bitte aufschlüsseln)? 

14. Welche Beträge der aus dem IT-Sonderprogramm im Haushalt eingeplanten 
24 Mio. Euro sind bereits für welche Maßnahmen ausgegeben worden, und 
wofür ist der Rest verbindlich vergeben? 

15. Wurden Firmen für die Entwicklung und Erprobung von Lesegeräten finan- 
zielle Unterstützungen aus dem Bundeshaushalt gewährt (bitte nach Firma, 
Modell, Höhe der Förderung und Zeitrahmen aufschlüsseln)? 

16. Rechnet die Bundesregierung mit zusätzlichen Kosten bei der Entwicklung, 
Zertifizierung und Verteilung von sicheren Lesegeräten, und wenn ja, in 
welcher Höhe? 

17. Wann werden nach Einschätzung der Bundesregierung wie viele Bundes- 
bürger bis 2020 den neuen Personalausweis besitzen und nutzen (bitte nach 
Anzahl und Monaten/Jahren aufschlüsseln)? 

18. Wann werden die sicheren Lesegeräte der höchsten Sicherheitsklasse frei 
erhältlich sein, und mit welchen Kosten pro Stück rechnet derzeit die Bun- 
desregierung? 

19. Hält die Bundesregierung daran fest, dass eine Änderung der Haftungsrege- 
lungen nicht erforderlich sei, weil ja jeder Einzelne selbst entscheide, wel- 
che Dienste er in welchem Umfang in Anspruch nehmen wolle? 

20. Erfüllt nach Auffassung der Bundesregierung die am 1. November 2010 
bereitgestellte Technik die Anforderungen und Versprechungen nach mehr 
Sicherheit für die Bürgerinnen und Bürger, die einen neuen Personalaus- 
weis erhalten und nutzen? 


Berlin, den 8. November 2010 

Dr. Gregor Gysi und Fraktion 
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